作者:Pedro,PolygonDAO作者
整理:海尔斯曼,链捕手
长期以来,以太坊L2之争的焦点都被ZKRollup和Optimisticrollup两者占据。因为OP的EVM兼容性和技术较为成熟等特性,更容易被项目开发者采用,因此,OP在当下更为通用和主流。据L2BAET的数据,仅Arbitrum、Optimism、Metis三个采用OP方案的项目,就占据了L2市场份额的70.8%。而ZKrollup因开发难度较高、技术进展较慢,目前采用率和市场份额占比都比较低。
作为目前总锁仓量最高的以太坊扩容方案,Polygon则坚定地将扩容的未来押注到了zk技术上。去年,Polygon大手笔收购了Hermez、Mir,并为zk扩容做出了10亿美元的重金承诺。
现在,Polygon拥有了“一整套”zk扩容方案,分别是Hermez、Nightfall、Miden和Zero。四种扩容方案虽都建立在zk技术之上,但各有千秋,策略不同。那么,这四种方案具体技术特性与开发进度如何?哪个更有希望先杀出来?
在这篇文章中,我们将详细讨论这四种zk解决方案,包括其开发历史、运作机制和开发进度等。以下内容整理自PolygonDAO专栏作者Pedro关于Polygon研究的Medium系列文章,链捕手在原文基础上进行了适当的精简和便于理解的增补。
一、PolygonZero
PolygonZero是一个ZK?L2解决方案,由最快速、最高效的递归证明系统Plonky2提供支持。前身为Mir协议,是由BrendanFarmer和DanielLubarov创办的PredicateLabs于2019年构建。Mir协议的特色是,执行程序过程中会生成递归的ZKP验证。简而言之,递归证明就像生成证明的证明。用于验证一组交易证明是否有效。
递归证明是一项非常年轻的技术,于2014年首次在理论上被引入。2019年,Mir能够在2分钟内生成递归证明,显然,这时间不算短,也缺乏扩展性。
2020年,由于Aztec团队的探索,Mir取得了巨大突破,实现了在60秒内生成递归证明。在此基础上,Mir团队开发了Plonky,允许Mir协议在15秒内生成递归证明。
2021年12月,Polygon以4亿美元收购了Mir,协议更名为?PolygonZero。最初Mir正在构建的启用zk技术的独立L1链的设想,变为在Polygon之上构建一个分布式的zk-rollup。
今年1月,PolygonZero发布了Plonky2,这一技术能在Mac-BookPro上以小于170毫秒的速度生成递归证明。这是有史以来最快的递归证明。而递归证明这项技术的突破,也将为PolygonZero服务——Plonky2将支持最具可扩展性的zkEVM。
Fireblocks:16家钱包提供商和开源库受到BitForge漏洞影响:金色财经报道,Fireblocks 密码学研究团队发现,16家钱包提供商和开源库受到了BitForge漏洞的影响,该公司表示,所披露的漏洞“有效地将 MPC 系统提供的保护降级为传统的单密钥系统的保护”,BitForge仅影响使用GG-18、GG-20和Lindell17协议的MPC钱包提供商,该漏洞为攻击者创建了一个后门,以便在签名失败时暴露部分私钥。Fireblocks 建议所有实施这些协议的提供商包含所需的零知识证明以增强安全性。
该公司将 BitForge 归类为“零日”漏洞,这意味着受影响软件的开发人员在 Fireblocks 披露之前并未发现这些漏洞。据悉,Fireblocks 确定了16家受影响的提供商和开源库,但没有公开点名这些公司,而是强调行业合作并提供修复机会。[2023/8/10 16:16:40]
1、Plonky2
Plonky2是Plonky1的迭代,前面也提到它建立在2020年Aztec构建的验证系统之上。
这三者之间的一个共同点是Plonk,所以我们需要先弄明白Plonk是什么。
ZKP是指在不透露相关信息的同时生成某个计算的有效性证明。所以没有信息并不会被泄露,只是生成证据。
两个主要的ZKP分别是SNARK和STARK。二者主要区别包括:SNARK依赖椭圆曲线来保证安全性,而STARK依赖散列函数来保证安全,使用散列函数意味着量子抗性。
SNARK和STARK对比,来源:Consensys?官网
SNARK的证明规模更小,这意味着链上数据存储更少,最终用户支付的gas更少。尽管SNARK对开发人员更加友好,但STARK提供了一些独特的优势,例如会更加透明,不需要受信任的设置,而且是“量子安全”的,在未来会有更大的潜力。这些优势也曾让Vitalik称STARK其实是“更新、更耀眼”的技术。
但因为SNARK早在2012年就被提出并投入使用,而STARK则在2018年才被提出。所以,SNARK在采用方面具有很大的先发优势,目前Z-Cash、路印协议和摩根大通都采用了SNARK技术,而且因为被广泛采用,SNARK拥有更多已发布的代码、开发人员库、项目和开发人员。但STARK作为新星,因其独特的优势,也在被更多项目采用。
Plonk是证明系统的名称,它属于SNARK证明系统的一种。
接下来,我会分析几种与Plonk结合的不同类型的方案:
Aztec使用Plonk+?KZG的递归证明时间为60秒;
Plonky1使用Plonk+?Halo,递归证明时间为15秒。Halo于2019年由Zcash首次推出,是第一个不需要可信设置的递归证明方案。但Halo的缺点是不兼容以太坊,这就是为什么Mir会在最初想建立独立的L1链;
币安将上线IDEX1-20倍U本位永续合约:5月2日消息,币安将于2023年05月03日20:00(东八区时间)上线IDEX1-20倍U本位永续合约。IDEX是将高性能订单簿与AMM相结合的混合流动性DEX。[2023/5/2 14:38:19]
Plonky2使用Plonk+?FRI,递归证明时间为170毫秒。2021年,PolygonZero负责人DanielLubarov提出将FRI与Plonk结合。
FRI是用于STARK的方案,这意味着通过使用FRI,Plonk就变成STARK,也意味着增加系统的透明度。当时,只有一个项目实现了递归FRI证明,该协议的证明时间约为10分钟且不可扩展。
为了保证快速,PolygonZero采用了Plonky的第一个版本,并用FRI替换了Halo。上文图表可看出,FRI的证明速度是“可变的”,提交的数据越少,获得的证明就越快。但数据越少,安全性就越低。
2、Plonky2正在构建什么?
如前所述,PolygonZero最终要建设由Plonky2提供支持的最具可扩展性的zkEVM。
即,每个zk-rollup都需要一个zkEVM才能真正处理计算。用于PolygonZero的zk-rollup的zkEVM将由Plonky2提供支持,这是目前最高效、最快的zk证明系统。
开发人员将能够在PolygonZero之上部署智能合约,不仅能利用Polygon的高性能,同时也利用以太坊的安全性。据其中一位创始人的说法,此L2将允许建设具有更多操作和功能的应用程序。
3、PolygonZero和Starkware的区别
大多数rollup,包括Starkware,都会将交易打包,并生成该交易包中的每个事务都是有效的证明。
PolygonZero使用递归证明,因此,每笔交易都会同时制作一堆非常快速的证明。然后将这些单独的交易证明捆绑在一起来创建更大的证明,即验证其他证明有效性的证明。
这意味着PolygonZero可以进行水平缩放。因此,如果有一堆机器并行生成这些交易证明,那么添加更多机器就可以证明更多交易。通过使用递归证明,可以扩展到更多事务,而不用以时间延迟为代价。
?PolygonZero相关数据
二、Polygon?Hermez
五年前,三位共读MBA的同事JordiBaylina、DavidSchwartz和AntoniMartin创办了一家名为Iden3的公司,他们从事的第一个项目是自主身份解决方案,当时项目被称为“自我主权身份”,与我们当下比较流行的去中心化身份DID其实是相同的概念。
OpenDAO:将在比特币Ordinal上推出子DAO“ BRC-20 Deneutralization DAO”:4月30日,据官方推特,OpenDAO宣布将在比特币Ordinal上推出子DAO“ BRC-20 Deneutralization DAO”。[2023/4/30 14:36:01]
但这三个人在研发SSI项目的过程中逐渐意识到,要想进一步让SSI成为主流,就必须先使得现有的区块链具备充分的可扩展性。这之后,三人决定转向新项目Hermez。
Hermez是基于zk技术的去中心化L2rollup解决方案。Hermez1.0是目前正在运行的支付平台,该平台允许用户通过一个简单易用的网络或移动界面将任何已注册的ERC-20代币从一个Hermez帐户转移到另一个帐户。去年7月,该团队宣布开发zkEVM,Hermez2.0,开发完成后将为以太坊带来一个完全兼容的zkEVM。
去年8月,Polygon宣布以2.5亿美元收购Hermez。新项目将命名为PolygonHermez,两个项目的代币MATIC和HEZ进行合并,Hermez的26名员工也将加入Polygon的80人团队。
1、Hermez1.0
Hermez最初是作为zk-rollup开始的,专注于在以太坊上扩展支付和代币转移。
rollup指的是打包一打交易并在链下一次执行。当这数千笔交易在链外执行时,就Hermez而言,会生成一个zk-SNARK。SNARK证明了批次中每笔交易的有效性,随后再由以太坊验证证明,而不是单个交易。
与Optimisticrollup相比,zkrollup可以立即生效,实现即时提款,而Optimisticrollup必须等待7天。这种能够在恒定时间内高效验证证明的能力,是所有zkrollup的核心。
Hermez的处理速度为2000TPS。据Hermez团队介绍,在未来处理速度还将大幅提升。
Hermez上可进行三种不同的交易:
存款:将任何已注册的ERC-20代币从L1以太坊发送到L2Hermez。存款需要支付以太坊gas费。
转账:将任何已注册的ERC-20代币从一个Hermez账户发送到另一个Hermez账户,此类转账交易非常便宜且即时。
取款:将ERC-20代币从L2Hermez发送回L1以太坊。提款需要支付以太坊gas费。
在提款时需要注意的一点是,Hermez提供了一种保护机制,即“强制提款”,允许用户随时将资金从L2Hermez转回L1以太坊,即便是协调员在试图作恶的情况下。
协调者和捐赠证明
协调者是Hermez版本的区块生产者。这些人通过生成zk-proof来证明链下交易的有效性。
约占总供应量42%的NEAR被质押,验证者总数达131个:11月21日消息,据官方消息,为了继续提高其生态透明度,NEAR基金会发布Staking状况透明度报告。截至11月18日,接近4.69亿枚NEAR被质押,约占总供应量的42%。验证者总数达131个,相比上个月(126个)增加近4%。
在131个验证者中,共计15个验证者持有50%的质押代币量,其中8个验证者持有1.54亿枚NEAR(占比33%)。116个验证者持有剩余50%的质押代币。[2022/11/22 7:53:47]
协调者就是将交易捆绑打包的人,他们会将所有的事务请求汇总在一个单元中,每次rollup会执行数千条事务,然后再生成zk-proof,再通过以太坊上的智能合约验证此zk证明。
Hermez之所以是去中心化的,是因为任何人都可以成为协调者并通过服务来赚取奖励。网络上可以同时有任意数量的协调者,但是只有一个能够实际处理交易并在任何给定的时间段内获得奖励。
Hermez网络通过拍卖过程选择下一个协调者。基本上任何人都可以使用MATIC代币出价,出价最高的人将赢得在10分钟内处理尽可能多的交易的权利,直到选择下一个协调员。这是一个非常有效的过程,因为它要求协调员在这10分钟内尽可能多地进行交易,以使获得的回报超过出价。
如果协调者竞标失败,MATIC代币将被退回原钱包,而那些竞标成功的资金,将有以下三个用途:
30%永久销毁40%用于由以太坊基金会管理的捐赠账户30%用于网络激励,以帮助推动Hermez网络的进一步采用。值得一提的是,Hermez支持原子交易。原子交易是一连串不可再分的交易,要么交易全部发生,要么全部不发生。例如,Alice想向Bob发送1000DAI来换取1ETH,在原子交易的情况下,二者必须都发送代币给对方之后,交易才可以成功,缺少一个步骤,交易都会失败。所以,这种交易方式能有效预防。
2、Hermez?2.0
去年7月,在EthCC4大会期间,Hermez团队宣布正在开发zkEVM即Hermez2.0。
我们都知道,目前L2多采用Optimism而ZK还没真正起飞的关键点就在于,zk还无法做到EVM兼容。所以,zkEVM就是要解决这个问题,在zk-rollup上运行智能合约。
目前很多项目也在开发zkEVM,仅在Polygon生态中,就有PolygonZero和PolygonHermez这两种解决方案。然而,每个项目都以不同的方式在解决这个问题,并且每个项目都有自己的权衡。
Hermez的特色在于不论是工具、生态系统还是安全性,均能与以太坊兼容。这就意味着在理想状态下,在以太坊上运行的智能合约能够在L2Hermez上运行。为开发人员提供无摩擦的体验。Optimism和Arbitrum一推出,就吸引了一批项目和用户迁移过来。不难想象,等zk-rollup成熟,会产生甚至更强的网络效应。
Ian Balina公布诉讼筹款页面,呼吁加密社区支持其与美国SEC的诉讼纠纷:9月30日消息,加密货币投资者Ian Balina公布诉讼筹款页面,并呼吁加密货币社区支持其与美国SEC的诉讼纠纷。
此前消息,美国SEC指控加密货币投资者Ian Balina参与推广在2018年未注册的加密资产SPRK。该案之所以吸引了众多关注的原因是,SEC在该案中曾表示“所有以太坊交易都在其管辖范围内”。(Decrypt)[2022/10/1 22:42:54]
Hermez创始人AntoniMartin形容zkEVM说:“如果你充分利用每个解决方案的最佳部分,你就可以制造出最好的汽车……”。所以,Hermez在开发zkEVM时同时采用了SNARKS和STARKS?两种ZKP方案,力求两全其美。
具体而言,当Hermez处理交易并在链下产生新区块时,将生成一个STARK证明,证明这些交易都是有效的。STARK证明的问题是在链上验证成本很高,而SNARK则在此时就有了用武之地,它需要做的就是在以太坊上验证STARK证明的有效性。
如果你想进一步深入了解此?zkEVM的架构,可点击此处查看?Hermez?2.0开发文档。
Hermez2.0功能
上图展示了Hermez?zkEVM提供的不同功能。当然,2.0还在开发过程中,据主网上发布2.0路线图显示,Hermez?2.0计划于今年第一季度上线公测网络,主网预计于第二季度上线。还有一处划重点,那就是Hermez?2.0正在开发一个无需许可的跨链桥,允许用户将资产从HermezL2转移到其他L2。
三、Polygon?Nightfall?
去年9月,Polygon和全球专业服务和技术公司安永(EY,Ernest&Young)建立合作关系,随后发布了PolygonNightfall。
安永在2019年公布了Nightfall的初始版本,和其他zk解决方案最不同的一点是,Nightfall是以隐私为重点的rollup,安永将其定位为“以太坊上最突出的隐私解决方案之一”。具体来说,就是Nightfall上每笔交易都包含隐私,意味着如果Alice向Bob发送一笔资产,其他人将无法看到该资产是什么、包含了多少价值或它去了哪里。
之所以更注重交易的隐私性,是因为安永瞄准的客户是企业。最开始,Nightfall试图直接在以太坊上构建第一个企业级区块链,但最后发现,在以太坊主网拥有隐私过于昂贵,于是转了L2并最终选择和Polygon合作。
二者合作发布的PolygonNightfall是迭代多次后的Nightfall?3.0版本,其最突出的特点是有效地将OptimisticRollup的主干概念与ZK-Rollups中常用的零知识(ZK)密码学相结合,从而实现了可扩展性和隐私性的融合。
PolygonNightfall目前正在测试网阶段,主网预计于今年上线。
1、Nightfall?如何运作?
PolygonNightfall本质上是一个利用zk加密保护隐私的OptimisticRollup。Polygon和安永的合作的重点在于使用Nightfall技术构建产业链,使企业能够以可预测的低费用且在监管指导下链接到L1上。
下图为Nightfall具体运作机制:
我们目前可以把可扩展性的瓶颈归结为“状态”,因为在在链上存储数据的成本很高。因此,扩展解决方案的目标是不断降低存储在链上的数据量。Nightfall在降低存储方面采用了成本更低的Optimisticrollup。
通常使用Optimisticrollup方案都会存在7天的挑战期,也就是说从L2提现到以太坊主网需要等待7天。但Nightfall改善了这一点,为用户提供了“即时退出”的选项。其运作方式是,由流动性提供者与用户该笔交易交换位置,先为用户垫付即时提款所需的资金,并在7天的等待期内占据该位置。
Nightfall希望交易同时兼具隐私性。所以,在OptimisticRollup上,Nightfall添加了一个额外的zk隐私层,来保证交易的私密性。
Nightfall?VSAztec
上图显示了两种不同的启用隐私的方法。左边的PolygonNightfall使用了zk密码学的Optimisticrollup,右边的Aztec使用了zk?rollup和zk密码学。我相信,最理想的方案是类似Aztec的zk/zk方法,但在当下,这种解决方法太昂贵了。所以,在一定程度上来说,Nightfall更像是一种能够立刻投入使用的折中方案。一旦zk费用得到解决,Nightall团队会最终切换到zk/zk方案。
下图为Nightfall的架构:
2、具体用例
金融企业和机构投资者:Nightfall独特的隐私性为希望将交易和掉期保密的投资组合管理公司创造了一个巨大的机会。为企业提供供应链可追溯性:企业可通过Nightfall处理供应、执行销售订单、私密支付等。目前,已有一家啤酒厂在使用安永的Nightfall供应链进行可追溯性交易,企业可轻松追踪有多少啤酒、它在哪里、运输数量等。此外,一家制药公司通过Nightfall来将生产线上的每一种产品都铸造成NFT,每天约产生60000个NFT。ESG:ESG评级是针对企业在环境、社会和公司治理三个方面进行评分考核,从长远角度判断企业是否具备可持续发展的价值。目前已有平台使用Nightfall技术,使用户可在不透露确切的慈善机构的情况下向某个慈善机构捐款。确保了资金使用上的私密性。而且通过在链上添加慈善机构的供应链,公众可以监督慈善机构的进度和资金去向。?
四、PolygonMiden
去年11月,Polygon宣布推出基于zk-STARKs的扩容解决方案Miden。这个项目由曾经主导研发了Winterfell技术的Facebook前核心零知识证明技术研究员领导。
PolygonMiden是一个基于STARK的zkrollup。PolygonMiden的特色是它旨在解决rollup很难支持任意逻辑和交易的挑战。rollup通过打包交易来减少链上数据存储,可以减少拥塞并降低交易费用,但很难支持交易包中的某个任意交易的验证,影响了它验证所有链下交易的能力。PolygonMiden通过使用MidenVM来解决这个当今zkrollup的最大难题之一。
PolygonMiden框架的核心组件有两个:DistaffVM和Winterfell。
DistaffVM是一个zk-EVM。每当在zk-VM中执行程序时,都会生成zk执行证明以验证程序是否正确运行,而无需实际运行该程序。Distaff是一个基于STARK的虚拟机。
对于在DistaffVM上执行的任何程序,都会自动生成基于STARK的执行证明。然后,任何人都可以使用这个证明来验证程序是否正确执行,而无需重新执行程序,甚至不需要知道程序是什么。
MidenVM就采用了DistaffVM,并为其添加一个更有效的证明系统——Winterfell。?Winterfell是一个功能齐全的多线程STARK证明器和验证器,用于任意计算。本质上是性能更高的最新版本的STARK证明。
一旦开发完成,任何项目都可以在这个zk-rollup之上部署智能合约。
其他项目不同之处在于,Miden生成STARK证明。尽管使用STARK证明更贵,但它相对要更安全。Miden创始人还计划进一步研究递归STARK证明,来降低其价格。
1、Miden的架构
交易首先会分发送给Miden的执行节点;这些执行节点一次将5000笔交易捆绑到区块中,并生成一个STARK证明;每200笔交易捆绑的区块生成一个STARK证明,证明交易的有效性;最后将最终STARK证明结果是上传到L1以太坊来达成共识和确定性。?
2、MidenVM?的亮点:
对开发人员友好:Miden的目标是让开发人员甚至无需学习任何有关密码学或zk证明的知识,即可在此zkVM之上运行智能合约。支持多种编程语言:团队正在努力增加对多种编程语言的支持,但同时保证Solidity优先。以安全为中心:通过zk技术使MidenVM比EVM本身更安全。以隐私为重点:虽然这不是现在的重点,但Miden团队在路线图部署了相关开发计划。据官网公布的信息,Miden预计于2023年第一季度推出。
总结:
最后,我们再简单快速对比一下Polygon的四种zk扩容方案:
PolygonZero开发了一种基于SNARK的递归证明系统Plonky2,这一技术能在Mac-BookPro上以小于170毫秒的速度生成递归证明。在如此高效、快速的Plonky2证明系统上,PolygonZero将最终开发最具可扩展性的zkEVM。
Hermez开发的zkrollup的特点是在交易过程中通过拍卖选择协调者,竞标成功的协调者为了盈利,会在单位时间内尽可能地进行交易,所以这一竞争机制会带来交易上的高效。此外,Hermez也在开发zkEVM,且同时采用了SNARK和STARK两种ZKP方案,力求两全其美。
而Nightfall要更特殊一些,和其他zk解决方案最不同的一点是,Nightfall是以隐私为重点的rollup,他瞄准的客户是企业。此外,Nightfall有效地将OptimisticRollup的主干概念与ZK-Rollups中常用的零知识(ZK)密码学相结合,从而实现了可扩展性和隐私性的融合。
Miden最核心的产品是MidenVM,和其他rollup不同,它采用较为冷门的STARK证明系统来建设虚拟机,旨在解决rollup很难支持任意逻辑和交易的挑战,提高验证所有链下交易的能力。
目前,四个方案多处于开发和测试阶段,都将于今年或明年正式上线。随着前述新zk解决方案的投入使用,Layer2将很大程度解决此前技术方案落后的质疑,并在主流Layer2解决方案中占有一席之地,为加密用户带来更多选择空间。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。